コンサルティングサービス
経営コラム
経済・政策レポート
会社情報

経営コラム

日本総研ニュースレター 2012年1月号

電子化社会にとってサイバー攻撃は国家安全保障にかかわる脅威

2012年01月04日 佐藤哲史


犯罪集団によるサイバー攻撃はますます対処困難に
 送信者と題名を見て関係者からの報告と思い、電子メールを開いて確認した。その後、知らない間に不正ソフトがインストールされ不正サーバへのデータ送信経路設定と機密情報の自動送信が行われていた――サイバー攻撃で機密情報を窃取される事件が国内外で続出している。対象は軍事関連産業や国家機関にとどまらず一般企業にも拡大しており、多くは特定の企業や団体を継続的に攻撃する標的型攻撃である。こうした攻撃は、従来は個人的な愉快犯によるものが主であったが、最近では、知的財産情報などを不正に取得する犯罪集団によるものへと変質している。
 情報セキュリティ関係者にとって、状況は厳しい。なりすましや正規ウェブサイトのすり替えなど、「だまし」の手口はますます巧妙となっており、もはや見知らぬ相手からの電子メールや怪しいウェブサイトを開かないといった程度の対策では防御し切れない。さらに、ソーシャルネットワークの普及によって、誰が誰を信頼しているかといった情報の入手が第三者でも容易になっていることも、対策を難しくしている。
 また、レガシーシステムといわれる旧来型の企業システムは、企業内に閉じたネットワーク利用を前提に作られている。このためオープン化対応の安全性や機密性確保は後付けになりがちで、攻撃者にその隙や不手際を狙われてしまう。

国家安全保障への脅威と位置付ける米国
 日本では、情報セキュリティへの脅威をネットワークシステムの脆弱性の問題と捉える傾向がある。しかし、停電やパイプラインからの石油漏洩、地下鉄事故、原発の停止など、サイバー攻撃による様々な危険を経験してきた米国では、国家安全保障に関する脅威と見る。従って、脅威への対応は、ネットワークや暗号技術の専門家が中心の日本に対し、米国では軍や情報機関関係者、テロ・組織犯罪専門家が行う。また、日本ではISMS(情報セキュリティマネジメントシステム)などの仕組み作りが先行するが、米国では重要インフラ防御対策などを含めた総合的な対策を実施する。
 日本の情報セキュリティ上の「重要インフラ」には、「情報通信」「金融」「航空・鉄道」「電気・ガス・水道」など10分野が定義されるだけだが、米国では、リアル上かネット上かにかかわらず、「農業・食糧」「健康・公衆衛生」「重要製造業」「商業施設」なども加わる。そもそも日本の情報セキュリティ予算は、米国の1割に満たない。サイバーポリスや内閣官房情報セキュリティセンターのほか、自衛隊には情報セキュリティ担当部隊があるようだが、いずれも規模が小さ過ぎる。

情報システムにも「免震構造」を
 サイバー攻撃は、国家権力によらない「兵器」としての利用も可能であり、実際、軍事システムをはじめ、発電所や交通機関の集中司令室など、国の機能を麻痺させる破壊活動も行われる。つまり、電子化社会での情報セキュリティは、国家安全保障の観点で、国家ぐるみでの対応、いや、「防衛」が必要となる。スピーディーかつ執拗に攻めてくる組織を相手に、企業単独での防御は不可能と考えるべきだ。
 短期対策としては、リアルでの検知と防御のシステムを実用化したい。通信の監視や脆弱性の発見、そして攻撃への気付きと遮断などに即応する、いわばネットワーク上に監視レーダーと迎撃ミサイルを配備するような対策だ。なお、攻撃を逆探知し無力化するサイバー兵器を防衛省が開発し、既に試験運用しているとの報道もあるが、有事法制の整備が進まなければ実用化はできない。
 中長期的には、情報システム構築のあり方を見直し、システム構造やデータ格納、コード体系などシステム全体の構造を、セキュリティ重視の仕組みに変えていく。
 情報セキュリティの目的は、システム自体の破壊や、情報の窃視・窃取・破壊などを防止し、いつでもどこでも情報システムを利用できる環境を保障することだ。つまり、安全性と利便性の両立が求められるが、対症療法的な「強度補強」を繰り返すと、利便性が大きく損なわれ、システムは事実上死にかねない。安全性と利便性のバランスを取るには、システム開発の進め方を抜本的に変えることが不可欠だ。後工程でセキュリティ対応をするのではなく、設計段階から全体のセキュリティを配慮することが重要となる。こうして開発される「免震構造」を備える企業システムへの置き換えを、国が方針を示し促進することが望まれる。


※執筆者の個人的見解であり、日本総研の公式見解を示すものではありません
経営コラム
経営コラム一覧
オピニオン
日本総研ニュースレター
先端技術リサーチ
カテゴリー別

業務別

産業別


YouTube

レポートに関する
お問い合わせ